Le chiffrement des donnees est regulierement cite comme une mesure de securite essentielle dans le cadre du RGPD. Mais s’agit-il d’une obligation stricte ou d’une simple recommandation ? En 2025, la reponse est nuancee et depend du contexte. Ce guide fait le point sur le statut du chiffrement au regard du RGPD, les cas ou il devient quasi obligatoire et les bonnes pratiques a adopter.
Ce que dit le RGPD sur le chiffrement
Le RGPD mentionne explicitement le chiffrement a l’article 32 comme exemple de mesure technique appropriee pour garantir un niveau de securite adapte au risque. L’article cite « le chiffrement des donnees a caractere personnel » parmi les mesures que le responsable de traitement et le sous-traitant doivent mettre en oeuvre. Cependant, le texte utilise les termes « selon les cas » et « si necessaire », ce qui indique que le chiffrement n’est pas une obligation absolue mais une mesure a evaluer au cas par cas.
L’article 34 du RGPD prevoit egalement que la notification d’une violation de donnees aux personnes concernees n’est pas necessaire si les donnees etaient chiffrees et que la cle n’a pas ete compromise. Le chiffrement offre donc un avantage considerable en cas d’incident.
Obligation ou recommandation : la reponse de la CNIL
La CNIL considere le chiffrement comme une mesure de securite incontournable dans de nombreuses situations. Sans l’imposer de maniere systematique, elle en fait une quasi-obligation pour les donnees sensibles (sante, biometrie, opinions politiques), les transferts de donnees par email ou internet, les supports mobiles (ordinateurs portables, cles USB, smartphones), les sauvegardes stockees hors site, et les bases de donnees accessibles a distance.
En pratique, l’absence de chiffrement dans ces situations est presque systematiquement relevee comme un manquement lors des controles de la CNIL. Plusieurs sanctions prononcees en 2025 mentionnent specifiquement le defaut de chiffrement comme facteur aggravant.
Les differents types de chiffrement
Chiffrement au repos
Le chiffrement au repos protege les donnees stockees sur un support physique (disque dur, serveur, base de donnees, sauvegarde). Si le support est vole ou perdu, les donnees restent illisibles sans la cle de dechiffrement. En 2025, le chiffrement integral du disque (BitLocker, FileVault, LUKS) est devenu un standard minimal pour tous les postes de travail et serveurs.
Chiffrement en transit
Le chiffrement en transit protege les donnees pendant leur transfert sur un reseau. Le protocole HTTPS (TLS) est devenu la norme pour tous les sites web et les API. Les emails contenant des donnees personnelles doivent transiter par des canaux chiffres (TLS, S/MIME, PGP). Les connexions VPN chiffrent l’ensemble du trafic entre deux points du reseau.
Chiffrement de bout en bout
Le chiffrement de bout en bout garantit que seuls l’expediteur et le destinataire peuvent lire les donnees. Meme le fournisseur de service n’a pas acces au contenu. Ce niveau de protection est recommande pour les communications particulierement sensibles : echanges avec les patients, donnees financieres confidentielles, correspondance entre avocats et clients.
Quand le chiffrement est-il quasi obligatoire ?
Le chiffrement devient une quasi-obligation dans les cas suivants :
Donnees de sante : le referentiel de securite de la CNIL et la reglementation HDS (Hebergement de Donnees de Sante) imposent le chiffrement des donnees medicales au repos et en transit.
Terminaux mobiles : la CNIL exige le chiffrement des ordinateurs portables, tablettes et smartphones professionnels contenant des donnees personnelles. La perte d’un appareil non chiffre constitue une violation de donnees notifiable.
Transferts hors UE : dans le cadre des transferts internationaux de donnees, le chiffrement fait partie des mesures supplementaires recommandees par le CEPD pour garantir un niveau de protection equivalent.
Cloud computing : le stockage de donnees personnelles dans le cloud doit s’accompagner d’un chiffrement cote client lorsque le fournisseur est soumis a des legislations extraterritoriales (Cloud Act americain par exemple).
Mise en oeuvre pratique
Choix des algorithmes
En 2025, les algorithmes recommandes par l’ANSSI sont : AES-256 pour le chiffrement symetrique, RSA-4096 ou les courbes elliptiques (ECDSA) pour le chiffrement asymetrique, et SHA-256 ou SHA-3 pour le hachage. Les algorithmes obsoletes (DES, MD5, SHA-1, RC4) ne doivent plus etre utilises.
Gestion des cles
La securite du chiffrement repose entierement sur la gestion des cles. Les bonnes pratiques incluent : la separation entre les donnees chiffrees et les cles, la rotation periodique des cles, la sauvegarde securisee des cles de recuperation, la restriction d’acces aux cles aux seules personnes habilitees, et la mise en place d’un processus de revocation en cas de compromission.
FAQ
Le HTTPS suffit-il a proteger un site web ?
Le HTTPS protege les donnees en transit entre le navigateur et le serveur. C’est necessaire mais pas suffisant. Les donnees stockees sur le serveur doivent egalement etre protegees (chiffrement au repos, controle d’acces, sauvegardes securisees). Le HTTPS ne protege pas contre les failles applicatives ou les acces non autorises cote serveur.
Le chiffrement dispense-t-il de notifier une violation ?
Le chiffrement dispense de notifier les personnes concernees (article 34) si les donnees etaient effectivement chiffrees et que la cle n’a pas ete compromise. En revanche, la notification a la CNIL reste obligatoire dans tous les cas (article 33), meme si les donnees etaient chiffrees.
